python - Ctypes-无法使用 NtQueryInformationProcess 获取 PEB 地址-6ren

python - Ctypes-无法使用 NtQueryInformationProcess 获取 PEB 地址

转载作者：太空宇宙更新时间：2023-11-03 20:27:11

25

4

我正在使用 ctypes 并尝试使用 NtQueryInformationProcess 函数获取 PEB 地址。

返回值为0，表示函数成功完成。但 PROCESS_BASIC_INFORMATION 结构(作为第三个参数给出)不包含 PEB 地址。

class PROCESS_BASIC_INFORMATION(Structure):
    _fields_ = [
        ("Reserved1", c_void_p),
        ("PebBaseAddress", DWORD),
        ("Reserved2", c_void_p * 2),
        ("UniqueProcessId", DWORD),
        ("Reserved3", c_void_p)]

ntdll = WinDLL('ntdll')
NTSTATUS = LONG
ntdll.argtypes = [HANDLE, DWORD, c_void_p, DWORD, PDWORD]
ntdll.restype = NTSTATUS
processInformation = PROCESS_BASIC_INFORMATION()
processInformationLength = sizeof(PROCESS_BASIC_INFORMATION)
result = ntdll.NtQueryInformationProcess(hProcess, 0, processInformation, processInformationLength, byref(DWORD(0)))

考虑一下返回值为 0 的事实，可能是什么问题？

最佳答案

列表[Python 3.Docs]: ctypes - A foreign function library for Python .

您为错误对象 (ntdll) 定义了argtypes 和restype。您应该为 ntdll.NtQueryInformationProcess 定义它们。当我们在这里时，很明显您喜欢DWORD。即使在这种情况下没有什么区别，请保持函数签名与来自 C 的函数签名一致:
```
ntdll.NtQueryInformationProcess.argtypes = [HANDLE, c_int, c_void_p, ULONG, PULONG]
ntdll.NtQueryInformationProcess.restype = NTSTATUS
```
未能在函数上定义argtypes和restype(或做得不正确)，可能(并且很可能会)导致:
- [SO]: Python ctypes cdll.LoadLibrary, instantiate an object, execute its method, private variable address truncated (@CristiFati's answer)
- [SO]: python ctypes issue on different OSes (@CristiFati's answer)
根据[MS.Docs]: NtQueryInformationProcess function (强调是我的):

ProcessInformation

A pointer to a buffer supplied by the calling application into which the function writes the requested information.

因此，您的调用应该类似于(通过引用传递processInformation):
```
result = ntdll.NtQueryInformationProcess(hProcess, 0, byref(processInformation), processInformationLength, byref(DWORD(0)))
```

根据同一页面，您的结构定义不正确。应该是:

class PROCESS_BASIC_INFORMATION(Structure):
    _fields_ = [
        ("Reserved1", c_void_p),
        ("PebBaseAddress", c_void_p),
        ("Reserved2", c_void_p * 2),
        ("UniqueProcessId", c_void_p),
        ("Reserved3", c_void_p),
    ]

您的版本(在64位上)短了8个字节(因为DWORD和指针之间的(2)大小差异)，导致传递的缓冲区太短函数，这是U未定义的B行为(它可能导致崩溃)。

关于python - Ctypes-无法使用 NtQueryInformationProcess 获取 PEB 地址，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/57740201/

25

4

0

文章推荐： php - Bootstrap 设置列全宽，如果它是一行中唯一的列

文章推荐： c# - 在 XNA 中设置 Xbox 仪表板图像

文章推荐： javascript - 动画 toggleClass Display None/Block

文章推荐： c# - 默认参数和覆盖

ctypes - 将 ctypes.c_void_p() 和 ctypes.c_size_t() 转换为字节数组或字符串？
我似乎找不到任何将 ctypes.c_void_p() 转换为字符串或字节数组的简单示例。有没有简单的衬里可以做到这一点？最佳答案给你: import ctypes as ct # set up
python - ctypes.pointer、ctypes.POINTER 和 ctypes.byref 之间有什么区别？
在ctypes中，pointer和byref有什么区别？它们似乎都是将指针传递给函数的一种方式，例如作为输出参数。最佳答案在功能上，它们是等价的。然而，python docs请指出 pointe
ctypes - 有没有办法确保我所有的 ctypes 都有 argtypes？
我知道我应该指定 argtypes对于我的 C/C++ 函数，因为我的某些调用会导致堆栈损坏。 myCfunc.argtypes = [ct.c_void_p, ct.POINTER(ct.c
python - ctypes 数组中元素上的 Ctypes 指针
有没有办法获取指向 ctypes 数组中间元素的指针？示例: lib = ctypes.cdll.LoadLibrary('./lib.so') arr = (ctypes.c_int32 * 100
typo3 - 自定义 CType 与 CType 列表和列表类型
在我自定义的 TYPO3 Extbase 扩展中，我创建了一个后端模块来管理个人记录。现在我需要一个内容元素来在前端显示记录。我看到了两种实现此目的的方法: 使用 CType“list”和自定义 l
python - 如何从 ctypes 数组中获取 ctypes 类型对象
实际上，我正在尝试将 ctypes 数组转换为 python 列表并返回。如果找到this thread 。但它假设我们在编译时知道类型。但是是否可以检索元素的 ctypes 类型？我有一个 p
python - 使用缓冲区更快地转换为 ctypes 对象或从 ctypes 对象转换？
我正在将 float 列表转换为具有以下字段的 ctypes Structure 类，然后再将它们传递给 FFI 函数: FFIArray(Structure): _fields_ = [("
ctypes - 使用 ctypes 将元组的元组从 c 返回到 python
我需要将异质数据的二维数组从我的 c dll 返回到 python。为此目的，我从我的 c dll 返回一个元组的元组。它作为 PyObject 返回 * 这个元组的元组需要作为第一行第一列的 tu
python - 如何访问 ctypes 结构的属性，就好像它们是 ctypes 一样，而不是通过给定的包装器？
这是不一致的: from ctypes import * class S(Structure): _fields_ = [("x", POINTER(c_int)), ("y", c_int)
python - 如何使用基于 ctypes 和 ctypes 的枚举正确调用以 "custom enum"作为参数的函数？
我真的希望一些 Python/Ctypes/C 专家可以帮助我解决这个问题，这可能是我在使用 Python 与 C 库交互时正确使用 Ctypes 的类型结构方面缺乏知识。目标:我需要访问几个使用
python - Ctypes - 从使用 ctypes 的 python 代码获取 C 回溯
我正在尝试调试 python 使用 ctypes 调用 C 函数的代码。我感兴趣的 python 代码中的一行看起来像: returnValue = cfunction() 其中 cfunction
python - 如何在 Python 中模拟使用 ctypes.byref 作为参数之一的 ctypes 函数
我正在开发 DLL/SO 的 Python 包装器。我已经验证了代码可以调用实际的 DLL 和 SO。我想对我的包装器进行单元测试，而不需要安装底层 DLL/SO。我正在考虑使用 mock 。我遇到
Python:ctypes + C malloc 错误。 C 内存问题还是 Python/ctypes 问题？
大家。我在使用 ctypes 和 C 代码时遇到内存分配错误。我想知道内存问题是在 C 内部，还是由 ctypes 使用不当引起的。内存错误是 python(79698) malloc: * erro
python - 如何使用 ctypes.windll.user32.SetWindowsHookExW Hook ctypes.windll.user32.MessageBoxW？
我想制作一个笑话程序，首先它打开一个消息框，关闭后另一个消息框出现在随机位置。它会一直这样重复，直到有什么东西终止了它的任务。使用 tkinter 消息框，那么这些消息框就无法被 Hook ，我必须制
python - 使用 `sys.getsizeof(Var)` 方法与 `ctypes.sizeof(Var)` 的 python 大小的 ctypes
我对 python 中的变量大小有疑问，我使用 Ctypes 因为我想要一个 1 字节的数字，但是当我试图在 python 中检查它的大小时(通过 sys.getsize ) 它说它是 80 字节但是
python - 无法导入模块 'lambda_function' : cannot import name 'WinDLL' from 'ctypes' (/var/lang/lib/python3. 7/ctypes/__init__.py
我正在尝试在 python lambda 函数中使用 matplotlib 生成图形。我使用库 mathplotlib 导入了一个图层，但它不起作用。这个想法是生成一个图形，将其保存为临时文件并上传
python - 使用 ctypes 模块将 blake 哈希函数 C 实现包装到 Python 中，还包括简单的 python ctypes testvector 脚本
我正在尝试使用 C 中的 python ctypes 制作简单的库 blake 哈希函数包装器。但只是为了首先测试我的简单 C 辅助函数是否能正常工作，我编写了小的 python 脚本 blake 哈
go - 以 C 类型作为参数导出函数 [不能在 package.Func 的参数中使用 x (type *C.ctype) 作为类型 *package.C.ctype]
图书馆代码(简化版): // package1.go package package1 import "C" func Play(s *C.char) { } 客户代码: // main.go pac
python ctypes 抛出错误？
到目前为止，我已经得到了一个不适用于 python 的 DLL，并输入 return: I just can't pass it arguments because I doing it wrong
ocaml - Ctypes 和指向字符串数组的指针
我有一个具有以下签名的 C 函数: void init(int* argc, char** argv[]); 我想使用 Ctypes 从我的 OCaml 代码中调用此函数，但我想不出一个正确的方法来传

首页

博学

6Ren·AI

商城

python - Ctypes-无法使用 NtQueryInformationProcess 获取 PEB 地址